CN108028843B - 保护计算机实现的功能的递送的方法、***和计算设备 - Google Patents
保护计算机实现的功能的递送的方法、***和计算设备 Download PDFInfo
- Publication number
- CN108028843B CN108028843B CN201680054890.1A CN201680054890A CN108028843B CN 108028843 B CN108028843 B CN 108028843B CN 201680054890 A CN201680054890 A CN 201680054890A CN 108028843 B CN108028843 B CN 108028843B
- Authority
- CN
- China
- Prior art keywords
- attack
- computer
- log
- entries
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
为了保护提供计算机实现的功能的基于网络的服务免受攻击,被动式web应用防火墙反应性地标识漏洞,以使得这样的漏洞能够迅速得到改善,而不会拦截通信或引入传统web应用防火墙的其他次优方面。涉及基于网络的服务的通信被日志记录,并且诸如基于预定的攻击语法在这样的日志中扫描表明为攻击的条目。对被标识为表明的攻击的条目的进一步评估标识与可能成功的攻击相对应的那些条目的子集。这样的进一步评估包括以相同的方式攻击基于网络的服务。被发现为成功的攻击标识漏洞,并且对这样的漏洞的通知被提供以促进这样的漏洞的改善。漏洞改善可以是自动的,诸如通过自动调节与基于网络的服务的实现相对应的设置来以预定方式改善所标识的漏洞。
Description
背景技术
现代计算机联网硬件使得物理上分离的计算设备能够以比先前代联网硬件可能的数量级更快的数量级来彼此通信。因此,在远离请求这种处理的用户的位置处执行数字数据处理或者代表其执行这种处理已经变得更实际。基于网络的服务可以通过网络向用户提供对计算机实现的功能的访问,而不要求用户在用户的计算设备上本地安装用于执行这样的功能的软件,由此节省了否则将花费在购买这样的软件上的用户财务资源、以及存储和执行这样的软件的计算资源。相反,当用户希望使用由这样的服务提供的计算机实现的功能时,用户可以简单地访问这样的基于网络的服务。基于网络的服务的普及也增加了他们作为攻击或其他恶意动作的目标的知名度。
发明内容
为了保护提供计算机实现的功能的基于网络的服务免受攻击,被动式web应用防火墙可以反应性地标识漏洞,以使得这样的漏洞能够迅速得到改善,而不会拦截通信或引入传统web应用防火墙的其他次优方面。涉及基于网络的服务的通信可以被日志记录,并且诸如基于预定的攻击签名、模式或其他语法方面在这样被日志记录的通信中扫描表明为攻击的条目。对被标识为表明的攻击的条目的进一步评估可以被执行以标识那些条目的子集,其标识可能成功的攻击。这样的进一步评估可以包括以与由统一条目表明的方式相同的方式攻击基于网络的服务。被发现为成功的攻击可以标识漏洞,并且对这样的漏洞的通知可以被提供以促进这样的漏洞的改善,由此增加这样的基于网络的服务的安全性。漏洞改善可以是自动的,诸如通过自动调节与基于网络的服务的实现相对应的设置来以预定方式改善所标识的漏洞。
提供本发明内容从而以简化的形式介绍下面在具体实施方式中进一步描述的一系列概念。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
附加特征和优点将从参考附图进行的以下详细描述变得明显。
附图说明
以下详细描述可以在结合附图进行时得到最好地理解,在附图中:
图1是包括被动式web应用防火墙的示例性***的框图;
图2是被动式web应用防火墙的示例性组件的框图;
图3是被动式web应用防火墙的示例性操作的流程图;以及
图4是示例性计算设备的框图。
具体实施方式
以下描述涉及保护通过网络通信向用户提供计算机实现的功能的服务免受攻击。被动式web应用防火墙可以反应性地标识漏洞,以使得这样的漏洞能够迅速得到改善,而不会拦截通信或引入传统web应用防火墙的其他次优方面。涉及基于网络的服务的通信可以被日志记录,并且诸如基于预定的攻击签名、模式或其他语法方面在这样被日志记录的通信中扫描表明为攻击的条目。对被标识为表明的攻击的条目的进一步评估可以被执行以标识那些条目的子集,其标识可能成功的攻击。这样的进一步评估可以包括以与由统一条目表明的方式相同的方式攻击基于网络的服务。被发现为成功的攻击可以标识漏洞,并且对这样的漏洞的通知可以被提供以促进这样的漏洞的改善,由此增加这样的基于网络的服务的安全性。漏洞改善可以是自动的,诸如通过自动调节与基于网络的服务的实现相对应的设置来以预定方式改善所标识的漏洞。
本文中描述的技术参考通过网络提供计算机实现的功能的服务。如本文中利用的,术语“计算机实现的功能”表示在一个或多个主机计算设备上的计算机可执行指令的执行,一个或多个主机计算设备从远程客户端接收通信,这些通信请求一个或多个功能的执行并且提供一个或多个约束,诸如参数、变量等,这些约束界定所请求的功能,并且作为响应,计算机可执行指令的执行执行所请求的功能并且生成结果,结果通过涉及这样的远程客户端的通信返回到这样的远程客户端。因此,术语“计算机实现的功能”包括搜索功能、映射功能、内容创建功能、电子邮件功能、个人信息管理功能以及其他类似的功能的供应。另外,本文中对“互联网”、“Web”或“万维网”、以及“网页”或“网站”的引用仅仅是示例性的,并不旨在将所描述的机制明确地仅限制在利用超文本传输协议(HTTP)和超文本标记语言(HTML)的实施例中。相反,本文中描述的机制可以等同地与任何网络基础设施、通信协议和接口一起利用。
尽管不要求,但是下面的描述将在由计算设备执行的诸如程序模块的计算机可执行指令的总体背景下。更特别地,除非另行指示,描述将参考动作和由一个或多个计算设备或***设备执行的操作的符号表示。因此,将理解,有时被称为被计算机执行的这种动作和操作包括由处理单元对以结构化形式表示数据的电信号的操纵。该操纵转换数据或者将其维持在存储器中的位置处,其以本领域技术人员公知的方式来重新配置或以其他方式更改计算设备或***设备的操作。维持数据的数据结构是具有由数据的格式定义的特定属性的物理位置。
总体上,程序模块包括例程、程序、对象、部件、数据结构等,其执行特定任务或实现特定抽象数据类型。此外,本领域技术人员将认识到,计算设备不需要限于常规个人计算机,并且包括其他计算配置,包括手持设备、多处理器***、基于微处理器的或者可编程消费电子、网络PC、微型计算机、大型计算机等。类似地,计算设备不需要限于独立计算设备,因为机制还可以被实践在分布式计算环境中,在分布式计算环境中任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,程序模块可以被定位在本地存储器存储设备和远程存储器存储设备两者中。
参考图1,示出了示例性***100,以为下面的描述提供上下文。图1的示例性***100被示出为包括传统台式客户端计算设备110和移动客户端计算设备120,两者通信地耦合到网络190。网络190还具有通信地耦合到它的计算设备,其托管通过网络190向客户端提供计算机实现的功能的服务。尽管诸如示例***131的服务通常跨多个并行运行的计算设备或作为单个内聚计算单元以本领域技术人员公知的方式执行,但是为了简单起见,图1的示例性***100仅示出了示例性地表示这样的一个或多个设备的单个服务托管计算设备130。
用户可以通过在实现服务131的计算机可执行指令与在由这样的用户利用的计算设备上执行的计算机可执行指令(诸如在台式客户端计算设备110上执行的示例性浏览器应用111或者由移动客户端计算设备120执行的示例性浏览器应用121)之间建立的通信来访问由服务131提供的计算机实现的功能。例如,并且如图1所示,利用在移动客户端计算设备120上执行的浏览器应用121的用户可以向在示例***托管计算设备130上执行的服务131传送诸如由通信171示例性地示出的请求。作为响应,包括服务131的计算机可执行指令可以执行所请求的操作并且可以向用户响应通信172返回,由此使得用户能够远程访问由服务131提供的计算机实现的功能。
如前所述,服务131可以是涉及服务131的攻击形式的恶意活动的目标,这些攻击寻求破坏服务131提供计算机实现的功能的能力,或者寻求通过服务131来访问信息,否则对该信息的访问将是不被允许的。可以针对这样的攻击提供一定保护的一种机制可以是主动式web应用防火墙,诸如示例性主动式web应用防火墙160。如本领域技术人员将认识到的,诸如示例性主动式web应用防火墙160的主动式web应用防火墙可以拦截涉及服务131的通信,诸如示例性通信175,并且可以在这样的通信中扫描恶意,以便在这样的通信被传递到服务131之前抢先检测攻击。更具体地,最初涉及服务131或者更具体地涉及服务131内的特定端点(诸如特定服务托管计算设备)的通信175可以被主动式web应用防火墙160拦截,并且可以与已知的或预定的攻击签名、模式或其他语法方面相比较。如果主动式web应用防火墙160确定通信175是攻击,则它们可以在主动式web应用防火墙160处被终止,并且决不会到达服务131。相反,如果主动式web应用防火墙160确定通信175不是攻击,则它们可以被传递通过主动式web应用防火墙160,如虚线176所示,并且然后被允许继续进行到它们最初涉及的服务131内的特定端点,如通信177所示。
如本领域技术人员将认识到的,主动式web应用防火墙在其保护服务131免受攻击的方式上具有缺点。例如,主动式web应用防火墙160只能在攻击具有与已知攻击相同的语法时才能阻止攻击。作为另一示例,主动式web应用防火墙160可以违反其他安全条款,诸如安全通信仅在服务131内的特定端点(诸如特定计算设备)而不是中间端点(诸如主动式web应用防火墙160)处终止的要求。因此,可能存在很多情况,其中诸如示例性web应用防火墙160的主动式web应用防火墙是不合需要的或者不足以充分保护服务131。
因此,在一个方面,服务131可以被被动式web应用防火墙保护,诸如示例性被动式web应用防火墙151。出于说明的目的,所示出的示例性被动式web应用防火墙151正在保护计算设备150上执行。然而,如本领域技术人员将认识到的,被动式web应用防火墙可以在并行操作的多个计算设备上执行,或者作为充当内聚计算单元的计算设备的集群执行,并且保护计算设备150意在说明任何一个或多个这样的计算设备。与主动式web应用防火墙160不同,示例性被动式web应用防火墙151可以允许与服务131的通信,而不会中断这样的通信,并且不会在服务131接收到这样的通信之前进行动作。因此,诸如示例性通信171的通信可以被导向服务131内的特定端点,诸如特定计算设备,并且实际上可以在这样的特定端点处终止,由此实现要求针对通信171的特定终止端点的任何安全需求。替代拦截通信,被动式web应用防火墙151可以利用由服务131生成的记录,服务131可以生成它已经以日志的形式接收到的通信的记录,诸如示例***日志141。例如,在接收到诸如示例性通信171的通信时,服务131可以在示例***日志141中日志记录这样的通信。为了节省空间,只有来自通信171的某些信息可以被日志记录在服务日志141中,尽管备选地,整个通信171可以被存储为服务日志141中的日志条目。
被动式web应用防火墙151然后可以访问服务日志141,如箭头181所示,并且以下面将进一步详细描述的方式,可以标识先前由服务131接收到的通信,这些通信被确定为已经遭到袭击。从这些攻击中,被动式web应用防火墙151可以以下面将进一步详细描述的方式标识利用实际漏洞的那些攻击或者换言之可能成功的那些攻击。一旦可能成功的这样的攻击被标识,被动式web应用防火墙151可以提供对这样的攻击所针对的漏洞的通知,并且这样的信息可以通过自动机制、通过手动调节或其组合来被利用,以更新或修改服务131以便改善所标识的漏洞,如虚线箭头182在图形上表示的。
转到图2,其中示出的示例性***200示出了被动式web应用防火墙的示例性组件和操作,诸如图1中示出并且在上面参考的示例性被动式web应用防火墙151。更具体地,并且如图2的示例性***200所示,向用户提供计算机实现的功能的服务(诸如示例***131)可以接收用户能够通过其访问服务131的入站通信,诸如示例性入站通信211。除了执行所请求的操作并且由此向用户提供对服务131所提供的计算机实现的功能的访问之外,服务131或与其一起执行的组件可以以日志记录的接收到的通信221的形式将所接收的通信211日志记录为服务日志141的一部分。
根据一个方面,诸如示例性攻击检测组件240的攻击检测组件可以诸如从示例***日志141获取与入站通信211相对应的日志条目。由箭头231在图形上表示的由攻击检测组件240对这样的日志条目的获取可以通过明确的请求/响应范式来进行,借此攻击检测组件240发出对于来自服务日志141的日志条目的明确请求,并且响应于此,接收所请求的日志条目。备选地或附加地,攻击检测组件240可以以流式方式从服务日志141接收条目,使得条目与其在服务日志141中的存储同时地被提供给攻击检测组件240。
诸如示例性攻击检测组件240的攻击检测组件可以评估表示已经由服务131接收到的入站通信211的所接收的日志条目,以标识入站通信211中被认为是攻击或者恶意性质或意图的通信的那些条目。根据一个方面,攻击检测组件240可以将被日志记录的通信与预定的攻击语法相比较,预定的攻击语法包括预定的攻击签名、预定的攻击模式和其他类似的预定的攻击语法。这样的操作可以以类似于由传统的主动式web应用防火墙所利用的方式来执行。更具体地,可以将每个日志条目与已知攻击语法的列表或其他类似集合相比较,以确定日志条目与集合中的任何攻击语法之间的对应关系。指示与一个或多个已知攻击语法相匹配的入站通信的日志条目可以被示例性攻击检测组件240标识为攻击。
示例性攻击检测组件240可以检测各种不同形式的攻击。例如,可以通过搜索跨站脚本攻击中通常利用的预定表达式或预定类型的表达来检测跨站脚本攻击。作为另一示例,可以通过搜索单引号字符、双短划线字符或预定为代码注入攻击的一部分的其他类似字符的十六进制等效形式来检测代码注入攻击。作为又一示例,可以通过搜索各种协议说明符、远程计算设备的标识和其他类似的攻击语法来检测恶意文件执行攻击。攻击检测组件240可以以类似的方式检测跨站伪造攻击、间接对象引用攻击、不适当的认证和会话管理攻击、不适当的错误处理攻击以及其他类似的攻击。
根据一个方面,被示例性攻击检测组件240标识为攻击的日志条目可以被提供给后续组件,后续组件可以评估这样的标识的攻击是否可能成功并且由此可以测试服务131对这样的攻击的漏洞。图2的示例性***200以示例性漏洞测试组件250的形式示出了这样的漏洞测试组件,其可以从示例性攻击检测组件240接收被标识为攻击241的日志条目。根据一个方面,漏洞测试组件250可以尝试以等同于或类似于从攻击检测组件240接收到的日志条目241中的攻击的方式来攻击服务131。
例如,如果条目241之一是具有特定语法和特定字母数字串的跨站脚本攻击,则漏洞测试组件250可以利用相同的语法和相同的字母数字串发出相同的入站通信,作为对服务131的攻击251。漏洞测试组件250然后可以从服务131接收结果252,并且基于那些结果252,示例性漏洞测试组件250可以确定攻击是否利用了实际漏洞,或者相反攻击是否失败以及服务131是否不容易受到这样的攻击。作为另一示例,漏洞测试组件250可以利用机器学习或模糊逻辑来偏离被标识为攻击241的日志条目的确切字母数字串,以作为攻击251的一部分尝试由日志条目241表示的攻击的不同变型。例如,漏洞测试组件250可以尝试在被标识为攻击241的日志条目中标识的相同参数的不同值。作为另一示例,漏洞测试组件250可以尝试替换等效功能的攻击251。例如,来自日志条目241之一的注入攻击可以作为攻击251的一部分被尝试,二者都具有与日志条目241的字母数字字符串相同的字母数字字符串,并且具有其中例如单引号字符被双点划线字符替换的字母数字字符串。
一旦示例性漏洞测试组件250作为攻击251之一向服务131发出入站通信,漏洞测试组件250可以接收这样的通信的结果252。根据一个方面,如果结果252表明由服务131对由攻击***的计算机可执行指令的执行,则示例性漏洞测试组件250可以确定攻击是成功的。根据另一方面,如果结果252表明定义服务131的操作的一个或多个参数被不正确地设置由此允许攻击成功,或者现在由于攻击而被不正确地设置,则示例性漏洞测试组件250可以确定攻击是成功的。
如果攻击251的结果252表明攻击是成功的,或者表明攻击可能会成功,诸如以上述方式,则漏洞测试组件250可以将对应的日志条目标识为目标漏洞并且可以提供对这样的漏洞的通知。根据一个方面,可选的漏洞改善组件260可以自动采取动作来限制涉及这样的漏洞的攻击的成功。例如,漏洞改善组件260可以改变定义服务131在其上执行的框架的预定义参数或设置261的值,以使得涉及所标识的漏洞的攻击不再能够成功,或者以其他方式降低或消除由这样的攻击对服务131造成的风险。
转到图3,其中示出的示例性流程图300示出了可以实现诸如以上所示的被动式web应用防火墙的示例性系列步骤。更具体地,在步骤310处,可以日志记录涉及服务的入站通信,使得入站通信数据中的一些或全部被保留。在步骤315处,可以从由步骤310日志记录的日志中获取先前接收到的入站通信。如前所述,在步骤315处的获取可以响应于对这样的先前通信的明确请求,或者可以是先前通信到执行示例性流程图300的步骤的计算机可执行指令的流式传输的一部分。随后,在步骤320处,可以扫描被日志记录的先前通信以标识表明为攻击的那些日志中的条目。如前所述,这样的扫描可以基于先前检测的攻击的已知签名。备选地或附加地,这样的扫描可以通过诸如图1所示的主动式web应用防火墙检测的攻击来通知,其可以结合本文中描述的被动式web应用防火墙来被利用。更具体地,当主动式web应用防火墙将特定语法标识为新的攻击时,这样的更新后的信息可以被提供和利用,作为在步骤320处对条目的扫描的一部分,以标识被确定为攻击的、与入站通信相对应的那些条目。
一旦标识出被确定为攻击的与入站通信相对应的日志条目,在步骤320处,处理可以进行到步骤325到345,其中那些被标识的日志条目然后被评估以确定那些攻击中的哪些攻击涉及实际漏洞,使得攻击可能会成功。在步骤325处,可以选择在步骤320处标识的条目之一。在步骤330处,可以以与在步骤325处选择的条目相同的方式来攻击服务。如前所述,在步骤330处生成的攻击可以与在步骤325处选择的条目的攻击相同,或者它们可以是其变体,诸如利用不同参数值、不同关键字符或符号的变体以及其他类似的变体。在步骤335处,可以确定步骤330的攻击是否成功。如前所述,如果攻击导致由攻击***的计算机可执行指令的执行,攻击导致或依赖于不恰当或不正确的设置或参数值,或者以其他方式满足成功攻击的标准,则可以确定攻击成功。如果在步骤335处确定攻击成功,则在步骤325处选择的条目可以被标识为与先前通信相对应的日志条目的子集的一部分,其是针对实际漏洞的攻击并且因此是可能成功的攻击。处理然后可以进行到步骤345。相反,如果在步骤335处确定步骤330的攻击不成功,则处理可以直接进行到步骤345,其中可以进一步确定是否存在来自在步骤320处标识的条目中的任何附加条目。如果这样的附加条目保留,则处理可以返回到步骤325,并且可以再次执行步骤325到345。
在步骤320到345之后,一旦没有被标识为攻击的另外的条目待评估以确定这样的攻击是否可能成功,则处理可以进行到步骤350,并且可以生成标识与先前涉及服务的通信相对应的那些条目的通知,那些条目被标识为攻击而且是由于其针对漏洞而可能成功的攻击。根据一个方面,在提供通知之后,在步骤350处,相关处理可以在步骤360处结束。备选地或附加地,可以执行附加步骤355,其中可以改变提供服务的计算机可执行指令正在其上执行的平台的设置,包括那些计算机可执行指令本身的设置,以改善在步骤350处标识的漏洞。如前所述,这样的自动改善可以以对设置、参数或变量值的预定改变或其他类似的改变的形式。例如,在步骤355处的自动改变可以根据已知的最佳实践来改变设置以降低安全风险。作为另一示例,如果检测到某些事件或漏洞,在步骤355处的自动改变可以根据可以指定备选设置的预定条件来改变设置。随后,相关处理可以在步骤360处结束。
转到图4,示出了示例性计算设备400,其可以执行上述机制和动作中的一些或全部。示例性计算设备400可以包括但不限于一个或多个中央处理单元(CPU)420、***存储器430以及将包括***存储器的各种***组件耦合到处理单元420的***总线421。***总线421可以是几种类型的总线结构中的任何一种,包括使用各种总线架构中的任何一种的存储器总线或存储器控制器、***总线和本地总线。计算设备400可以可选地包括图形硬件,包括但不限于图形硬件接口470和显示设备471,其可以包括能够接收基于触摸的用户输入的显示设备,诸如触敏或能够多点触摸的显示设备。取决于特定的物理实现,计算设备400的CPU 420、***存储器430和其他组件中的一个或多个可以在物理上被共同定位,诸如在单个芯片上。在这种情况下,***总线421中的一些或全部可以仅仅是单个芯片结构内的硅通路,并且其在图4中的图示可以仅仅是出于说明目的的符号便利。
计算设备400通常还包括计算机可读介质,其可以包括能够由计算设备400访问的并且包括易失性介质和非易失性介质以及可移除介质和不可移除介质两者的任何可用介质。通过举例而非限制的方式,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以任何方法或技术实现的用于存储内容的介质,内容诸如计算机可读指令、数据结构、程序模块或其他数据。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多用盘(DVD)或其他光学盘存储装置、磁带盒、磁带、磁盘存储装置或其他磁性存储设备、或者能够被用于存储期望的内容并且能够由计算设备400访问的任何其他介质。然而,计算机存储介质不包括通信介质。通信介质通常体现计算机可读介质、数据结构、程序模块或诸如载波或其他传输介质的经调制的数据信号中的其他数据,并且包括任何内容递送介质。通过举例而非限制的方式,通信介质包括诸如有线网络或直接有线连接的有线介质,以及诸如声学、RF、红外和其他无线介质的无线介质。以上中的任何组合还应当被包括在计算机可读介质的范围内。
***存储器430包括以易失性存储器和/或非易失性存储器的形式的计算机存储介质,诸如只读存储器(ROM)431和随机访问存储器(RAM)432。包含有助于在计算设备400内的各元件之间传递内容(诸如在启动期间)的基本例程的基本输入/输出***433(BIOS)通常被存储在ROM 431中。RAM 432通常包含处理单元420可直接访问的和/或当前由处理单元420对其操作的数据和/或程序模块。通过示例而非限制的方式,图4图示了操作***434、其他程序模块435以及程序数据436。
计算设备400还可以包括其他可移除/不可移除、易失性/非易失性计算机存储介质。仅通过示例的方式,图4图示了从不可移除非易失性磁性介质读取或者向其写入的硬盘驱动器441。可以与示例性计算设备一起使用的其他可移除/不可移除、易失性/非易失性计算机存储介质包括但不限于磁带盒、闪存卡、数字多用盘、数字视频带、固态RAM、固态ROM以及其他计算机存储介质,如以上所定义和描绘的。硬盘驱动器441通常通过诸如接口440的非易失性存储器接口连接到***总线421。
以上讨论的并且在图4中图示的驱动器及其相关联的计算机存储介质为计算设备400提供计算机可读指令、数据结构、程序模块或其他数据的存储。在图4中,例如,硬盘驱动器441被图示为存储操作***444、其他程序模块445、以及程序数据446。要指出,这些部件可以与操作***434、其他程序模块435和程序数据436相同或者不同。这里,操作***444、其他程序模块445、以及程序数据446被给予不同的编号以至少说明它们是不同的副本。
计算设备400可以在使用到一个或多个远程计算机的逻辑连接的联网环境中操作。计算设备400被图示为通过网络接口或适配器460连接到一般网络连接461,网络接口或适配器460继而连接到***总线421。在联网环境中,关于计算设备400或其部分或***设备而描绘的程序模块可以被存储在一个或多个其他计算设备的存储器中,一个或多个其他计算设备通过一般网络连接461通信耦合到计算设备400。将认识到,所示的网络连接是示例性的,并且可以使用在计算设备之间建立通信链接的其他方式。
尽管被描绘为单个物理设备,但是示例性计算设备400可以是虚拟计算设备,在这种情况下诸如CPU 420、***存储器430、网络接口460以及其他类似部件的上述物理部件的功能可以由计算机可执行指令提供。这种计算机可执行指令可以运行在单个物理计算设备上,或者可以跨多个物理计算设备而被分布,包括以动态方式跨多个物理计算设备被分布,使得托管这种计算机可执行指令的特定物理计算设备能够取决于需求和可用性而随时间动态变化。在其中示例性计算设备400为虚拟化设备的情况下,托管这种虚拟化计算设备的底层物理计算设备本身可以包括与以上描述的物理部件类似的并且以类似的方式操作的物理部件。另外,虚拟计算设备可以在多层中被利用,其中一个虚拟计算设备在另一虚拟计算设备的构造内被执行。因此,如本文所使用的,术语“计算设备”意指物理计算设备或包括虚拟计算设备的虚拟化计算环境,在虚拟计算设备内计算机可执行指令可以以与物理计算设备对它们的执行一致的方式来被执行。类似地,如本文所使用的,称为计算设备的物理部件的术语意指执行相同或等效功能的那些物理部件或其虚拟化。
作为第一示例,以上描述包括一种保护通过网络提供的计算机实现的功能的递送的方法,所述方法包括以下步骤:获取涉及所述计算机实现的功能的先前通信的日志;从所获取的所述日志中将一组条目标识为攻击,所述标识基于所述一组条目中的每个条目与预定的攻击语法相匹配;尝试使用与所述一组条目中的相同的攻击来攻击所述计算机实现的功能;基于所尝试的所述攻击的结果,将来自所述一组条目的条目子集标识为可能成功的攻击;以及生成仅对所述条目子集的通知。
第二示例是第一示例的方法,其中所述预定的攻击语法包括对作为统一资源定位符(URL)的一部分而提供的参数名称和值的标识。
第三示例是第一示例的方法,其中所述预定的攻击语法基于由web应用防火墙检测到的攻击而被更新,所述web应用防火墙在那些通信被所述计算机实现的功能接收之前阻止检测到的攻击。
第四示例是第一示例的方法,其中如果条目的语法与至少一个预定的攻击语法的形式相匹配,但是与所述预定的攻击语法中的任何预定的攻击语法不相同,则所述条目被标识为攻击。
第五示例是第一示例的方法,其中获取所述日志包括获取涉及所述计算机实现的功能的先前通信作为流式数据。
第六示例是第一示例的方法,其中将所述条目子集标识为可能成功的攻击包括将第一条目标识为可能成功的攻击,因为尝试使用与所述第一条目中的相同的攻击来攻击所述计算机实现的功能导致由所述攻击***的计算机可执行指令的执行。
第七示例是第一示例的方法,其中将所述条目子集标识为可能成功的攻击包括将第一条目标识为可能成功的攻击,因为尝试使用与所述第一条目中的相同的攻击来攻击所述计算机实现的功能标识执行所述计算机实现的功能的框架中的不正确的设置。
第八示例是第一示例的方法,还包括:标识其当前设置使得与所述条目子集相关联的攻击能够成功的一个或多个设置;以及改变所标识的所述一个或多个设置中的至少一些设置。
第九示例是一种计算设备,包括:一个或多个处理单元;以及包括计算机可执行指令的计算机可读介质,所述计算机可执行指令在由所述一个或多个处理单元执行时使得所述计算设备:获取涉及计算机实现的功能的先前通信的日志;从所获取的所述日志中将一组条目标识为攻击,所述标识基于所述一组条目中的每个条目与预定的攻击语法相匹配;尝试使用与所述一组条目中的相同的攻击来攻击所述计算机实现的功能;基于所尝试的所述攻击的结果,将来自所述一组条目的条目子集标识为可能成功的攻击;以及生成仅对所述条目子集的通知。
第十示例是第九示例的计算设备,其中所述预定的攻击语法基于由web应用防火墙检测到的攻击而被更新,所述web应用防火墙在那些通信被所述计算机实现的功能接收之前阻止检测到的攻击。
第十一示例是第九示例的计算设备,其中如果条目的语法与至少一个预定的攻击语法的形式相匹配,但是与所述预定的攻击语法中的任何预定的攻击语法不相同,则所述条目被标识为攻击。
第十二示例是第九示例的计算设备,其中使得所述计算设备执行获取所述日志的计算机可执行指令包括在由所述一个或多个处理单元执行时使得所述计算设备获取涉及所述计算机实现的功能的先前通信作为流式数据的计算机可执行指令。
第十三示例是第九示例的计算设备,其中使得所述计算设备执行将所述条目子集标识为可能成功的攻击的所述计算机可执行指令包括在由所述一个或多个处理单元执行时使得所述计算设备将第一条目标识为可能成功的攻击的计算机可执行指令,因为尝试使用与所述第一条目中的相同的攻击来攻击所述计算机实现的功能导致由所述攻击***的计算机可执行指令的执行。
第十四示例是第九示例的计算设备,其中所述计算机可读介质包括另外的计算机可执行指令,所述另外的计算机可执行指令在由所述一个或多个处理单元执行时使得所述计算设备:标识其当前设置使得与所述条目子集相关联的攻击能够成功的一个或多个设置;以及改变所标识的所述一个或多个设置中的至少一些设置。
第十五示例是一种用于保护通过网络提供的计算机实现的功能的递送的***,包括:第一组计算设备,执行包括以下各项的步骤:获取涉及计算机实现的功能的先前通信的日志;从所获取的所述日志中将标识一组条目标识为攻击,所述标识基于所述一组条目中的每个条目与预定的攻击语法相匹配;以及第二组计算设备,执行包括以下各项的步骤:尝试使用与所述一组条目中的相同的攻击来攻击所述计算机实现的功能;基于所尝试的所述攻击的结果,将来自所述一组条目的条目子集标识为可能成功的攻击;以及生成仅对所述条目子集的通知。
第十六示例是第十五示例的***,其中所述第一计算设备和所述第二组计算设备彼此完全不同。
第十七示例是第十五示例的***,还包括执行实现所述计算机实现的功能的计算机可执行指令的第三组计算设备。
第十八示例是第十五示例的***,其中如果条目的语法与至少一个预定的攻击语法的形式相匹配,但是与所述预定的攻击语法中的任何预定的攻击语法不相同,则所述条目被标识为攻击。
第十九示例是第十五示例的***,其中将所述条目子集标识为可能成功的攻击包括将第一条目标识为可能成功的攻击,因为尝试使用与所述第一条目中的相同的攻击来攻击所述计算机实现的功能导致由所述攻击***的计算机可执行指令的执行。
第二十示例是第十五示例的***,还包括第三组计算设备,所述第三组计算设备执行包括以下各项的步骤:标识其当前设置使得与所述条目子集相关联的攻击能够成功的一个或多个设置;以及改变所标识的所述一个或多个设置中的至少一些设置。
从以上描述中可以看出,已经呈现了通过使用被动式web应用防火墙来增加对提供计算机实现的功能的服务的保护的机制。鉴于本文中描述的主题的很多可能的变型,我们要求保护可能落入所附权利要求及其等同物的范围内的所有这样的实施例作为我们的发明。
Claims (20)
1.一种保护通过网络提供的计算机实现的功能的递送的方法,所述方法包括以下步骤:
获取从所述网络接收到的用于执行操作服务的先前通信的日志,所述先前通信涉及所述计算机实现的功能;
从所获取的所述日志中将第一组日志条目标识为攻击,所述标识基于所述第一组日志条目中的每个日志条目与预定的攻击语法相匹配;
响应于标识所述第一组日志条目,通过以下操作来测试实际漏洞:
从标识的所述第一组日志条目中选择日志条目;
生成涉及所述计算机实现的功能的攻击通信,所生成的所述攻击通信与所选择的所述日志条目的攻击类似;
从所述计算机实现的功能检测以下两者之一:指示所生成的所述攻击通信导致执行由所生成的所述攻击通信***的计算机可执行指令的结果,或者指示定义所述计算机实现的功能的操作的一个或多个参数被设置得不合适或者不正确从而允许所生成的所述攻击成功、或者由于所生成的所述攻击而现在被设置得不合适或者不正确的结果;
仅当所述结果指示所生成的所述攻击通信导致成功攻击时标记所选择的所述日志条目;
针对来自所述第一组日志条目的其他日志条目重复测试所述实际漏洞;以及
生成仅对第二组日志条目的通知,所述第二组日志条目是标识的所述第一组日志条目的子集。
2.根据权利要求1所述的方法,其中所述预定的攻击语法包括对作为统一资源定位符(URL)的一部分而提供的参数名称和值的标识。
3.根据权利要求1所述的方法,其中所述预定的攻击语法基于由web应用防火墙检测到的攻击而被更新,所述web应用防火墙在那些通信被所述计算机实现的功能接收到之前阻止检测到的攻击。
4.根据权利要求1所述的方法,其中获取所述日志包括获取涉及所述计算机实现的功能的所述先前通信作为流式数据。
5.根据权利要求1所述的方法,还包括:
改变定义所述计算机实现的功能的所述操作的所述一个或多个参数中的至少一些参数。
6.根据权利要求1所述的方法,其中所生成的所述攻击通信包括与所选择的所述日志条目的所述攻击相同的参数,但是所述相同参数的值不同。
7.根据权利要求1所述的方法,其中生成与所选择的所述日志条目的所述攻击类似的所述攻击通信包括以下两者:
生成第一攻击通信,所述第一攻击通信具有与所选择的所述日志条目的所述攻击的对应参数值相同的参数值;以及
生成一个或多个其他攻击通信,所述一个或多个其他攻击通信具有与所选择的所述日志条目的所述攻击的所述对应参数值不同的参数值。
8.一种计算设备,包括:
一个或多个硬件处理单元;以及
包括计算机可执行指令的计算机可读介质,所述计算机可执行指令在由所述一个或多个处理单元执行时使得所述计算设备:
获取从网络接收到的用于执行操作服务的先前通信的日志,所述先前通信涉及所述计算机实现的功能;
从所获取的所述日志中将第一组日志条目标识为攻击,所述标识基于所述第一组日志条目中的每个日志条目与预定的攻击语法相匹配;
响应于标识所述第一组日志条目来测试实际漏洞,所述测试通过:
从标识的所述第一组日志条目中选择日志条目;
生成涉及所述计算机实现的功能的攻击通信,所生成的所述攻击通信与所选择的所述日志条目的攻击类似;
从所述计算机实现的功能检测以下两者之一:指示所生成的所述攻击通信导致执行由所生成的所述攻击通信***的计算机可执行指令的结果,或者指示定义所述计算机实现的功能的操作的一个或多个参数被设置得不合适或者不正确从而允许所生成的所述攻击成功、或者由于所生成的所述攻击而现在被设置得不合适或者不正确的结果;
仅当所述结果指示所生成的所述攻击通信导致成功攻击时标记所选择的所述日志条目;
针对来自所述第一组日志条目的其他日志条目重复测试所述实际漏洞;以及
生成仅对第二组日志条目的通知,所述第二组日志条目是标识的所述第一组日志条目的子集。
9.根据权利要求8所述的计算设备,其中所述预定的攻击语法基于由web应用防火墙检测到的攻击而被更新,所述web应用防火墙在那些通信被所述计算机实现的功能接收到之前阻止检测到的攻击。
10.根据权利要求8所述的计算设备,其中使得所述计算设备执行获取所述日志的所述计算机可执行指令包括在由所述一个或多个处理单元执行时使得所述计算设备获取涉及所述计算机实现的功能的所述先前通信作为流式数据的计算机可执行指令。
11.根据权利要求8所述的计算设备,其中所述计算机可读介质还包括在由所述一个或多个处理单元执行时使得所述计算设备执行以下操作的计算机可执行指令:
改变定义所述计算机实现的功能的所述操作的所述一个或多个参数中的至少一些参数。
12.根据权利要求8所述的计算设备,其中所生成的所述攻击通信包括与所选择的所述日志条目的所述攻击相同的参数,但是对于所述相同的参数具有不同的值。
13.根据权利要求8所述的计算设备,其中使得所述计算设备执行生成与所选择的所述日志条目的所述攻击类似的所述攻击通信的所述计算机可执行指令包括在由所述一个或多个处理单元执行时使得所述计算设备执行以下两者的计算机可执行指令:
生成第一攻击通信,所述第一攻击通信具有与所选择的所述日志条目的所述攻击的对应参数值相同的参数值;以及
生成一个或多个其他攻击通信,所述一个或多个其他攻击通信具有与所选择的所述日志条目的所述攻击的所述对应参数值不同的参数值。
14.一种用于保护通过网络提供的计算机实现的功能的递送的***,包括:
第一组计算设备,执行包括以下各项的步骤:
获取从所述网络接收到的用于执行操作服务的先前通信的日志,所述先前通信涉及所述计算机实现的功能;
从所获取的所述日志中将第一组日志条目标识为攻击,所述标识基于所述第一组日志条目中的每个日志条目与预定的攻击语法相匹配;以及
第二组计算设备,执行包括以下各项的步骤:
响应于标识所述第一组日志条目来测试实际漏洞,所述测试通过:
从标识的所述第一组日志条目中选择日志条目;
生成涉及所述计算机实现的功能的攻击通信,所生成的所述攻击通信与所选择的所述日志条目的攻击类似;
从所述计算机实现的功能检测以下两者之一:指示所生成的所述攻击通信导致执行由所生成的所述攻击通信***的计算机可执行指令的结果,或者指示定义所述计算机实现的功能的操作的一个或多个参数被设置得不合适或者不正确从而允许所生成的所述攻击成功、或者由于所生成的所述攻击而现在被设置得不合适或者不正确的结果;
仅当所述结果指示所生成的所述攻击通信导致成功攻击时标记所选择的所述日志条目;
针对来自所述第一组日志条目的其他日志条目重复测试所述实际漏洞;以及
生成仅对第二组日志条目的通知,所述第二组日志条目是标识的所述第一组日志条目的子集。
15.根据权利要求14所述的***,其中所述第一组计算设备和所述第二组计算设备彼此完全不同。
16.根据权利要求14所述的***,还包括:执行实现所述计算机实现的功能的计算机可执行指令的第三组计算设备。
17.根据权利要求14所述的***,还包括第三组计算设备,执行包括以下各项的步骤:
改变定义所述计算机实现的功能的所述操作的所述一个或多个参数中的至少一些参数。
18.根据权利要求14所述的***,其中获取所述日志包括获取涉及所述计算机实现的功能的所述先前通信作为流式数据。
19.根据权利要求14所述的***,其中所生成的所述攻击通信包括与所选择的所述日志条目的所述攻击相同的参数,但是对于所述相同的参数具有不同的值。
20.根据权利要求14所述的***,其中生成与所选择的所述日志条目的所述攻击类似的所述攻击通信包括以下两者:
生成第一攻击通信,所述第一攻击通信具有与所选择的所述日志条目的所述攻击的对应参数值相同的参数值;以及
生成一个或多个其他攻击通信,所述一个或多个其他攻击通信具有与所选择的所述日志条目的所述攻击的所述对应参数值不同的参数值。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/864,858 | 2015-09-24 | ||
US14/864,858 US9853940B2 (en) | 2015-09-24 | 2015-09-24 | Passive web application firewall |
PCT/US2016/052360 WO2017053206A1 (en) | 2015-09-24 | 2016-09-16 | Passive web application firewall |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108028843A CN108028843A (zh) | 2018-05-11 |
CN108028843B true CN108028843B (zh) | 2021-01-01 |
Family
ID=57018195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680054890.1A Active CN108028843B (zh) | 2015-09-24 | 2016-09-16 | 保护计算机实现的功能的递送的方法、***和计算设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9853940B2 (zh) |
EP (1) | EP3353983B1 (zh) |
CN (1) | CN108028843B (zh) |
WO (1) | WO2017053206A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10567396B2 (en) * | 2015-12-15 | 2020-02-18 | Webroot Inc. | Real-time scanning of IP addresses |
CN107426252B (zh) * | 2017-09-15 | 2019-10-25 | 北京百悟科技有限公司 | 提供web应用防火墙服务的方法和设备 |
US10542025B2 (en) * | 2017-12-26 | 2020-01-21 | International Business Machines Corporation | Automatic traffic classification of web applications and services based on dynamic analysis |
CN108848088A (zh) * | 2018-06-12 | 2018-11-20 | 浪潮软件集团有限公司 | 一种基于大数据行为分析的安全测试***和方法 |
US11425092B2 (en) * | 2020-05-26 | 2022-08-23 | Radware, Ltd. | System and method for analytics based WAF service configuration |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7574740B1 (en) * | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
CN103023710A (zh) * | 2011-09-21 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种安全测试***和方法 |
CN104063309A (zh) * | 2013-03-22 | 2014-09-24 | 南京理工大学常熟研究院有限公司 | 基于模拟攻击的Web应用程序漏洞检测方法 |
CN104937605A (zh) * | 2013-01-21 | 2015-09-23 | 三菱电机株式会社 | 攻击分析***、协作装置、攻击分析协作方法和程序 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003100617A1 (en) | 2002-05-22 | 2003-12-04 | Lucid Security Corporation | Adaptive intrusion detection system |
US6952779B1 (en) | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
US7941856B2 (en) | 2004-12-06 | 2011-05-10 | Wisconsin Alumni Research Foundation | Systems and methods for testing and evaluating an intrusion detection system |
WO2008097198A1 (en) | 2007-02-09 | 2008-08-14 | Agency For Science, Technology And Research | Apparatus and method for analysis of data traffic |
US8424094B2 (en) | 2007-04-02 | 2013-04-16 | Microsoft Corporation | Automated collection of forensic evidence associated with a network security incident |
US8601586B1 (en) | 2008-03-24 | 2013-12-03 | Google Inc. | Method and system for detecting web application vulnerabilities |
US9871811B2 (en) | 2009-05-26 | 2018-01-16 | Microsoft Technology Licensing, Llc | Identifying security properties of systems from application crash traffic |
US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
US8438270B2 (en) | 2010-01-26 | 2013-05-07 | Tenable Network Security, Inc. | System and method for correlating network identities and addresses |
US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US9213832B2 (en) | 2012-01-24 | 2015-12-15 | International Business Machines Corporation | Dynamically scanning a web application through use of web traffic information |
US9544324B2 (en) | 2012-03-02 | 2017-01-10 | Trustwave Holdings, Inc. | System and method for managed security assessment and mitigation |
KR101239401B1 (ko) | 2012-10-05 | 2013-03-06 | 강명훈 | 보안 시스템의 로그 분석 시스템 및 방법 |
US9853964B2 (en) * | 2012-11-27 | 2017-12-26 | Robojar Pty Ltd | System and method for authenticating the legitimacy of a request for a resource by a user |
-
2015
- 2015-09-24 US US14/864,858 patent/US9853940B2/en active Active
-
2016
- 2016-09-16 CN CN201680054890.1A patent/CN108028843B/zh active Active
- 2016-09-16 EP EP16774587.6A patent/EP3353983B1/en active Active
- 2016-09-16 WO PCT/US2016/052360 patent/WO2017053206A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7574740B1 (en) * | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
CN103023710A (zh) * | 2011-09-21 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种安全测试***和方法 |
CN104937605A (zh) * | 2013-01-21 | 2015-09-23 | 三菱电机株式会社 | 攻击分析***、协作装置、攻击分析协作方法和程序 |
CN104063309A (zh) * | 2013-03-22 | 2014-09-24 | 南京理工大学常熟研究院有限公司 | 基于模拟攻击的Web应用程序漏洞检测方法 |
Also Published As
Publication number | Publication date |
---|---|
US9853940B2 (en) | 2017-12-26 |
WO2017053206A1 (en) | 2017-03-30 |
US20170093795A1 (en) | 2017-03-30 |
CN108028843A (zh) | 2018-05-11 |
EP3353983A1 (en) | 2018-08-01 |
EP3353983B1 (en) | 2021-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11188645B2 (en) | Identifying whether an application is malicious | |
AU2018217323B2 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
CN108028843B (zh) | 保护计算机实现的功能的递送的方法、***和计算设备 | |
US10164993B2 (en) | Distributed split browser content inspection and analysis | |
US9065826B2 (en) | Identifying application reputation based on resource accesses | |
KR102271545B1 (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
CN109583194B (zh) | 用于基于事件的卷积的普及度检测异常事件的***和方法 | |
US20100037317A1 (en) | Mehtod and system for security monitoring of the interface between a browser and an external browser module | |
US9081985B1 (en) | System and method for operating a computing device in a secure mode | |
JP2015527685A (ja) | アプリケーションのセキュリティ検証のためのクラウド支援された方法及びサービス | |
CN109558207B (zh) | 在虚拟机中形成用于进行文件的防病毒扫描的日志的***和方法 | |
CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
WO2014071867A1 (zh) | 程序处理方法和***,用于程序处理的客户端和服务器 | |
EP3086526B1 (en) | Launching a browser in a safe mode if needed | |
WO2015109912A1 (zh) | 缓冲区溢出攻击检测装置、方法和安全防护*** | |
CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及*** | |
CN107623693B (zh) | 域名解析防护方法及装置、***、计算设备、存储介质 | |
US8978139B1 (en) | Method and apparatus for detecting malicious software activity based on an internet resource information database | |
US20190163905A1 (en) | System, Method, and Apparatus for Preventing Execution of Malicious Scripts | |
US8141153B1 (en) | Method and apparatus for detecting executable software in an alternate data stream | |
JP2020109611A (ja) | コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 | |
US9124472B1 (en) | Providing file information to a client responsive to a file download stability prediction | |
JP2019194832A (ja) | ウェブリソースの変更を検出するシステムおよび方法 | |
JP2016525750A (ja) | 合法的オブジェクトの誤用の識別 | |
JP6498413B2 (ja) | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |